Focus sur les offres de confiance IaaS et PaaS et le label SecNumCloud

L’essor de l’informatique en nuage (Cloud computing) offre aux administrations françaises une opportunité unique d’accélérer leur transformation numérique et de développer de nouveaux services publics innovants. Cependant, ce développement s’accompagne de nouvelles préoccupations quant à la souveraineté numérique, en particulier pour les données sensibles des secteurs stratégiques.

Le contexte géostratégique du cloud en France : entre opportunités et enjeux de souveraineté

La dynamique dans le secteur du cloud soulève de vives préoccupations quant à la souveraineté numérique des offres en France. En effet, la forte dépendance des entreprises françaises aux fournisseurs de cloud étrangers, notamment américains (71 % du marché IaaS/PaaS détenu par AWS, Azure et GCP en 2021⁽¹⁾), les expose directement à l’application de lois à portée extraterritoriale telles que le Cloud Act et la section 702 de la FISA, mettant ainsi en péril la confidentialité de leurs données sensibles. En effet, ces réglementations permettent à des autorités étrangères d’accéder aux données hébergées par des entreprises ayant un rattachement légal à leur juridiction, même si ces données sont stockées en dehors de leur territoire. Ce problème vise en particulier les secteurs stratégiques, tels que le secteur public, les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). Ces acteurs manipulent des informations sensibles, comme des informations médicales, des données bancaires ou encore des secrets industriels. La compromission de telles données pourrait entraîner des répercussions considérables, non seulement pour les individus concernés, mais également pour la sécurité nationale et l’économie du pays, en favorisant l’espionnage industriel, les fraudes financières ou la désinformation.

Face à ces enjeux, l’État français a mis en place la doctrine « Cloud au centre » pour accélérer la transformation numérique des administrations tout en préservant la souveraineté numérique⁽²⁾. Cette doctrine encourage l’adoption généralisée de solutions cloud répondant aux plus hauts standards de sécurité. Pour répondre à ces exigences, le concept de « cloud de confiance » s’est imposé. Le Cigref a proposé une définition du cloud de confiance⁽³⁾, mettant en avant une double protection : technique, grâce à des mesures de sécurité renforcées, et juridique, en préservant les données des atteintes potentielles des lois extraterritoriales. Un exemple de label associé est le label SecNumCloud⁽⁴⁾ qui, délivré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), atteste du respect de ces critères et garantit ainsi le plus haut niveau de sécurité pour la protection des données sensibles tout en se protégeant des lois extraterritoriales.

Le marché français du cloud de confiance est en plein développement, porté par la volonté de l’État de renforcer la souveraineté numérique et par les préoccupations croissantes des entreprises en matière de sécurité des données. De nombreux acteurs, tant historiques que nouveaux entrants, proposent désormais des offres labellisées SecNumCloud ou cherchent à obtenir le label.

Le marché des offres de cloud qualifiées SecNumCloud en réponse à ces enjeux

La demande pour des solutions de cloud de confiance en France ne cesse de s’accroître, motivée par le besoin urgent de protéger les données sensibles et d’affirmer la souveraineté numérique. Parmi les nombreux acteurs qui cherchent à se positionner, certains ont déjà franchi l’étape de la labellisation SecNumCloud, tandis que d’autres s’efforcent de l’obtenir. Enfin, des fournisseurs ambitieux ont intégré cet objectif à leur stratégie, sans encore entamer le processus de qualification. Nous nous concentrerons dans cet article sur les solutions IaaS et PaaS, qui répondent aux besoins critiques de nombreux secteurs avec le label SecNumCloud. La figure ci-dessous présente les acteurs du marché et leur positionnement par rapport à la qualification SecNumCloud.

Matrice de maturité SecNumCloud : positionnement des offres par modèle de service

Offres labellisées SecNumCloud : une maturité encore à prouver ?

Sur le marché français, seuls cinq acteurs proposent des offres IaaS et/ou PaaS avec le label SecNumCloud : Cloud Temple, OVHCloud, Outscale, et Worldline, ce dernier proposant une solution d’hébergement qualifiée SecNumCloud seulement pour ses clients. À noter que NumSpot propose aussi un service IaaS labellisé qui s’appuie sur l’infrastructure d’Outscale.

Focus sur les offres IaaS : un écosystème en pleine construction

En termes de conformité, OVHCloud se distingue par une palette étendue de certifications (HDS, ISO, CISPE, etc.), renforçant ainsi sa crédibilité sur le marché IaaS. Si d’autres fournisseurs possèdent également des certifications complémentaires, OVHCloud se démarque par leur nombre. Cloud Temple, par exemple, est certifié Hébergeur de Santé (HDS), ce qui lui permet de cibler le secteur public et santé.  Outscale, quant à lui, est le seul fournisseur à proposer une solution cloud public certifiée SecNumCloud, avec une facturation à la ressource consommée, répondant ainsi aux besoins des organisations en quête de flexibilité tout en garantissant la souveraineté des données. Enfin, Worldline, avec ses labellisations SecNumCloud et PCI DSS, s’adresse spécifiquement au secteur financier et aux industries requérant des niveaux de sécurité élevés.

Quant au catalogue de services, les solutions IaaS labellisées SecNumCloud se caractérisent par leur relative simplicité et un développement en cours. Les offres actuelles se concentrent principalement sur des services de base tels que la virtualisation, le stockage et la sécurité, limitant ainsi les fonctionnalités avancées présentes sur les plateformes non labellisées. Les offres continuent de développer leurs services pour maintenir leur compétitivité et répondre aux attentes croissantes des utilisateurs.

Enfin, du côté de l’engagement local et éthique, OVHCloud et Outscale se démarquent par leur engagement en matière de responsabilité sociétale des entreprises (RSE), intégrant le scope 3 pour réduire l’empreinte carbone et détenant des certifications environnementales ISO 50001 et ISO 14001. Worldline, également certifié ISO 14001, poursuit des initiatives similaires pour améliorer son impact environnemental. Par ailleurs, Cloud Temple poursuit ses efforts pour renforcer son impact environnemental.

Zoom sur les offres PaaS : un marché encore en éclosion

Le paysage des solutions PaaS labellisées SecNumCloud en France est encore émergent. Cloud Temple se distingue en tant que seul acteur proposant une offre PaaS, qui se base sur OpenShift avec un catalogue de services complet. Grâce à ses fonctionnalités avancées et à une intégration fluide avec d’autres outils de l’écosystème cloud, cette plateforme se révèle être un choix attractif pour les entreprises souhaitant développer des applications personnalisées dans un cadre sécurisé et souverain. L’ambitieuse feuille de route de Cloud Temple laisse présager une évolution continue et prometteuse de cette offre.

Offres en voie de labellisation SecNumCloud : un potentiel à concrétiser

Le marché français des offres cloud SecNumCloud est marqué par des initiatives ambitieuses, notamment avec des acteurs comme S3NS et Bleu qui illustrent le principe de joint-ventures associant des géants technologiques internationaux à des entreprises françaises. S3NS, piloté par Thales en partenariat avec Google, et Bleu, porté par Orange et Capgemini avec le soutien stratégique de Microsoft, visent à construire des catalogues de services alignés sur les standards des grands fournisseurs internationaux tout en répondant aux critères de souveraineté et de sécurité imposés par le label SecNumCloud.

Certains acteurs du marché français sont actuellement engagés dans le processus de labellisation SecNumCloud en collaboration avec l’ANSSI, tandis que d’autres affichent des ambitions pour obtenir ce label à l’avenir. Les initiatives de ces fournisseurs montrent un paysage dynamique, avec des offres encore en cours de développement mais prometteuses pour répondre aux enjeux de souveraineté.

Dans le domaine des offres IaaS, nombreux sont les acteurs avec des solutions en cours de qualification avec l’ANSSI : Free.pro, OVHCloud, Ecritel, S3NS, OBS (Orange Cloud Avenue), cegedim.cloud, SFR Business. Bleu Cloud et Scaleway, bien qu’ils n’aient pas encore officiellement entamé le processus de labellisation, prévoient de déposer son dossier prochainement, affirmant ainsi leur ambition claire de décrocher le label SecNumCloud.

Le secteur des offres PaaS en cours de qualification SecNumCloud présente, pour l’instant, un paysage peu différencié. Le marché est en pleine évolution, avec peu de solutions concrètes disponibles à ce jour. On retrouve ainsi S3NS, Orange Cloud Avenue et OVHCloud qui sont en cours de processus avec l’ANSSI et NumSpot, Bleu Cloud, Scaleway, Clever Cloud, cegedim.cloud et Scalingo qui ont l’objectif de proposer un service PaaS labellisée mais qui n’ont pas encore démarré le processus. Ils couvriront les fonctionnalités essentielles d’une plateforme PaaS tout en cherchant à se développer à leur échelle.

Conclusion

Le marché français du cloud qualifié SecNumCloud est en pleine expansion, porté par un écosystème diversifié allant des grands fournisseurs aux nouveaux entrants. Malgré des avancées, le processus de labellisation reste long et complexe, nécessitant des investissements importants. Bien que les offres actuelles répondent aux exigences de souveraineté et de sécurité, elles sont encore en phase de maturation. De nouveaux services avancés, en cours de développement, viendront compléter les fonctionnalités proposées.

La qualification SecNumCloud constitue à la fois un défi et une opportunité pour renforcer la souveraineté numérique. Parallèlement, l’arrivée imminente de l’EUCS (European Cybersecurity Certification Scheme) pourrait jouer un rôle clé dans la redéfinition des standards de sécurité et de conformité au niveau européen, incitant le marché à se structurer autour de nouvelles exigences européennes. Le développement continu des solutions contribuera à la maturation du marché, en réponse aux besoins croissants des entreprises en matière de solutions cloud sécurisées. Dans ce contexte, il sera crucial de suivre l’évolution des solutions labellisées SecNumCloud, des ambitions des acteurs et de l’impact potentiel de l’EUCS pour comprendre comment le marché s’adapte aux attentes croissantes des entreprises et des administrations.

Sources

• (1) Exaegis Markess. (2022, 9 mai). En 2021, Amazon, Microsoft et Google ont capté 80 % de la croissance des dépenses françaises en Cloud public d’infrastructures. https://www.markess.com/cloud-computing/en-2021-amazon-microsoft-et-google-ont-capte-80-de-la-croissance-des-depenses-francaises-en-cloud-public-dinfrastructures/.
• (2) Gouvernement numérique. (2023, 1er juin). Cloud au centre : la doctrine de l’État. https://www.numerique.gouv.fr/services/cloud/doctrine/.
• (3) Cigref. (2023, 16 octobre). Cigref publishes its third version of the trusted cloud reference document. https://www.cigref.fr/cigref-publishes-its-third-version-of-the-trusted-cloud-reference-document.
• (4) ANSSI. (2022, 8 mars). Prestataires de services d’informatique en nuage (SecNumCloud) référentiel d’exigences Version 3.2. https://cyber.gouv.fr/sites/default/files/document/secnumcloud-referentiel-exigences-v3.2.pdf.
• (5) Agence du Numérique en Santé. (2024, 5 novembre). Liste des hébergeurs certifiés. https://esante.gouv.fr/offres-services/hds/liste-des-herbergeurs-certifies.
• (6) CNIL. (2024). Cloud : les risques d’une certification européenne permettant l’accès des autorités étrangères aux données sensibles. https://www.cnil.fr/fr/cloud-les-risques-dune-certification-europeenne-permettant-lacces-des-autorites-etrangeres.

Lien vers les sites des acteurs mentionnés :

• OVHcloud : https://www.ovhcloud.com/fr/
• Outscale : https://fr.outscale.com/cloud-experience/cloud-souverain/
• Cloud Temple : https://www.cloud-temple.com/
• Worldline : https://worldline.com/fr-fr/
• Orange Business – Cloud Avenue : https://cloud.orange-business.com/offres/infrastructure-iaas/cloud-avenue/
• Bleu Cloud : https://www.bleucloud.fr/
• S3NS : https://www.s3ns.io/en
• Cegedim : https://cegedim.cloud/
• NumSpot : https://numspot.com/
• SFR Business – Cloud Agility : https://www.sfrbusiness.fr/infrastructure-it/cloud-agility/
• Free Pro – XPR Cloud : https://xpr.freepro.com/
• Scalingo : https://scalingo.com/fr/
• Scaleway : https://www.scaleway.com/fr/
• Clever Cloud : https://www.clever-cloud.com/fr/
• Ecritel : https://www.ecritel.fr/fr/